本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Kubernetes 进行故障排除 Amazon 私有 CA
故障排除

您可以按照以下步骤获取`aws-private-ca-issuer`日志：

1. 获取 pod 的名称：

   ```
   kubectl get pods -A
   ```

1. 要查看发行者日志，请使用以下命令：

   ```
   kubectl logs -n aws-privateca-issuer <pod-name> aws-privateca-issuer
   ```

1. 要查看日 IAM Roles Anywhere 志，请使用以下命令：

   ```
   kubectl logs -n aws-privateca-issuer <pod-name> rolesanywhere-credentials-helper
   ```

要查看您的 Amazon 私有 CA 发卡机构的状态，请使用以下方法之一：

**要检查您的发卡机构是否准备就绪，请使用以下命令：**

```
kubectl get AWSPCAClusterIssuers -o json | jq '.items[].status
```

响应应类似于以下内容：

```
{
  "conditions": [
    {
      "lastTransitionTime": "2024-07-03T13:56:37Z",
      "message": "Issuer verified",
      "reason": "Verified",
      "status": "True",
      "type": "Ready"
    }
  ]
}
```

如果发行人不在该`Ready`州，则该`message`字段将提供有关发行人无法到达该`Ready`州的原因的信息。

**要检查您的证书是否已准备就绪，请使用以下命令：**

```
kubectl get certificates -o json | jq '.items[].status'
```

响应应类似于以下内容：

```
{
  "conditions": [
    {
      "lastTransitionTime": "2024-07-03T13:58:13Z",
      "message": "Certificate is up to date and has not expired",
      "observedGeneration": 1,
      "reason": "Ready",
      "status": "True",
      "type": "Ready"
    }
  ],
  "notAfter": "2024-10-01T13:58:12Z",
  "notBefore": "2024-07-03T12:58:12Z",
  "renewalTime": "2024-09-16T13:58:12Z",
  "revision": 1
}
```

如果证书不在该`Ready`州，则该`message`字段将提供有关证书无法到达该`Ready`州的原因的信息。